Estrutura de enterprise do Azure: Governação de subscrições prescritivaAzure enterprise scaffold: Prescriptive subscription governance

As empresas estão cada vez mais adotando da cloud pública para sua agilidade e flexibilidade.Enterprises are increasingly adopting the public cloud for its agility and flexibility. Contam com pontos fortes a cloud para gerar receitas e otimizar a utilização de recursos para o negócio.They rely on the cloud's strengths to generate revenue and optimize resource usage for the business. Microsoft Azure oferece uma infinidade de serviços e recursos que as empresas montarem, como os blocos de construção para resolver um vasto leque de aplicações e cargas de trabalho.Microsoft Azure provides a multitude of services and capabilities that enterprises assemble like building blocks to address a wide array of workloads and applications.

Decidir a utilizar o Microsoft Azure é apenas o primeiro passo para alcançar os benefícios da cloud.Deciding to use Microsoft Azure is only the first step to achieving the benefit of the cloud. O segundo passo é compreender como a empresa efetivamente pode utilizar o Azure e identificar as capacidades de linha de base que têm de estar em vigor para responder às perguntas como:The second step is understanding how the enterprise can effectively use Azure and identify the baseline capabilities that need to be in place to address questions like:

  • "Estou preocupado com a soberania de dados; como posso garantir que que meus dados e sistemas de cumprir os nossos requisitos regulamentares?""I'm concerned about data sovereignty; how can I ensure that my data and systems meet our regulatory requirements?"
  • "Como posso saber o que cada recurso oferece suporte para que eu podem contribuir para ele e volta com precisão de fatura?""How do I know what each resource is supporting so I can account for it and bill it back accurately?"
  • "Eu quero Certifique-se de que tudo o que podemos implementar ou fazer na cloud pública começa com a mentalidade de segurança em primeiro lugar, como é que ajudam a facilitar que?""I want to make sure that everything we deploy or do in the public cloud starts with the mindset of security first, how do I help facilitate that?"

A perspectiva de uma subscrição vazia com nenhuma guardrails é uma tarefa árdua.The prospect of an empty subscription with no guardrails is daunting. Este espaço em branco pode hamper sua mudança para o Azure.This blank space can hamper your move to Azure.

Este artigo fornece um ponto de partida para profissionais técnicos atender à necessidade de governação e equilibrá-lo com a necessidade de agilidade.This article provides a starting point for technical professionals to address the need for governance and balance it with the need for agility. Ele introduz o conceito de uma estrutura de enterprise que orienta as empresas a implementar e gerenciar seus ambientes do Azure de forma segura.It introduces the concept of an enterprise scaffold that guides organizations in implementing and managing their Azure environments in a secure way. Ele fornece a estrutura para desenvolver controles eficazes e eficientes.It provides the framework to develop effective and efficient controls.

Necessidade de governaçãoNeed for governance

Quando mudar para o Azure, deve resolver o tópico de governação desde o início para garantir que a utilização efetuada com êxito da cloud dentro da empresa.When moving to Azure, you must address the topic of governance early to ensure the successful use of the cloud within the enterprise. Infelizmente, a hora e a burocracia de criação de um sistema abrangente de governação significa alguns grupos de negócios ir diretamente para fornecedores sem envolver TI corporativos.Unfortunately, the time and bureaucracy of creating a comprehensive governance system means some business groups go directly to providers without involving enterprise IT. Essa abordagem pode deixar a empresa aberto para comprometer se os recursos não sejam adequadamente gerenciados.This approach can leave the enterprise open to compromise if the resources are not properly managed. As características da cloud pública—agilidade, flexibilidade e preços baseados no consumo—são importantes para os grupos de negócios que precisam para satisfazer rapidamente as necessidades dos clientes (internos e externos).The characteristics of the public cloud—agility, flexibility, and consumption-based pricing—are important to business groups that need to quickly meet the demands of customers (both internal and external). Mas TI empresarial tem de garantir a proteção com eficiência dados e sistemas.But enterprise IT needs to ensure that data and systems are effectively protected.

Durante a criação de um prédio, scaffolding é utilizado para criar a base de uma estrutura.When creating a building, scaffolding is used to create the basis of a structure. A estrutura orienta o contorno geral e fornece pontos de âncora para sistemas mais permanentes de ser montado.The scaffold guides the general outline and provides anchor points for more permanent systems to be mounted. Uma estrutura empresarial é o mesmo: um conjunto de controlos flexíveis e capacidades do Azure que fornecem estrutura para o ambiente e as âncoras de serviços criados na cloud pública.An enterprise scaffold is the same: a set of flexible controls and Azure capabilities that provide structure to the environment, and anchors for services built on the public cloud. Fornece os construtores (IT e grupos de negócios) uma base para criar e expor os novos serviços tendo a velocidade de entrega em mente.It provides the builders (IT and business groups) a foundation to create and attach new services keeping speed of delivery in mind.

A estrutura baseia-se em práticas que podemos ter reunidas a partir de muitos compromissos com os clientes de vários tamanhos.The scaffold is based on practices we have gathered from many engagements with clients of various sizes. Esses variam de clientes desde organizações de pequenas porte a desenvolver soluções na cloud a empresas multinacionais grandes e fornecedores independentes de software que estão a migrar cargas de trabalho e desenvolver soluções de nativas da cloud.Those clients range from small organizations developing solutions in the cloud to large multinational enterprises and independent software vendors who are migrating workloads and developing cloud-native solutions. A estrutura da empresa é "os" para ser flexível para suportar cargas de trabalho IT tradicionais e cargas de trabalho ágil; Por exemplo, os desenvolvedores a criação de software como um aplicativo de serviço (SaaS) com base nas capacidades da plataforma Azure.The enterprise scaffold is "purpose-built" to be flexible to support both traditional IT workloads and agile workloads; such as, developers creating software as a service (SaaS) applications based on Azure platform capabilities.

A estrutura de enterprise destina-se para ser a base de cada nova subscrição no Azure.The enterprise scaffold is intended to be the foundation of each new subscription within Azure. Permite que os administradores garantir que as cargas de trabalho de cumprir os requisitos de governação mínima de uma organização sem a impedir que os grupos de empresas e desenvolvedores rapidamente a cumprir os seus próprios objetivos.It enables administrators to ensure workloads meet the minimum governance requirements of an organization without preventing business groups and developers from quickly meeting their own goals. Nossa experiência mostra que isso muito acelera, e não impede, crescimento de cloud pública.Our experience shows that this greatly speeds, rather than impedes, public cloud growth.

Nota

A Microsoft lançou em pré-visualização de um novo recurso chamado esquemas de Azure que irá permitir-lhe empacotamento, a gerir e implementar comuns imagens, modelos, políticas e scripts em subscrições e grupos de gestão.Microsoft has released into preview a new capability called Azure Blueprints that will enable you to package, manage, and deploy common images, templates, policies, and scripts across subscriptions and management groups. Esta capacidade é a ponte entre o objetivo da estrutura como o modelo de referência e a implementar esse modelo para a sua organização.This capability is the bridge between the scaffold's purpose as reference model and deploying that model to your organization.

A imagem seguinte mostra os componentes de scaffold.The following image shows the components of the scaffold. A base se baseia num plano sólido para a hierarquia de gerenciamento e subscrições.The foundation relies on a solid plan for the management hierarchy and subscriptions. Os pilares consistem em padrões de nomenclatura fortes e de políticas do Resource Manager.The pillars consist of Resource Manager policies and strong naming standards. O resto do scaffold são principais capacidades do Azure e funcionalidades que permitem e ligar um ambiente seguro e gerenciável.The rest of the scaffold are core Azure capabilities and features that enable and connect a secure and manageable environment.

estrutura de Enterprise

Definir a sua hierarquiaDefine your hierarchy

A base de scaffold é a hierarquia e a relação de inscrição de Enterprise do Azure através de subscrições e grupos de recursos.The foundation of the scaffold is the hierarchy and relationship of the Azure Enterprise Enrollment through to subscriptions and resource groups. A inscrição de enterprise define a forma e a utilização dos serviços do Azure dentro da empresa a partir de um ponto de vista contratual.The enterprise enrollment defines the shape and use of Azure services within your company from a contractual point of view. Dentro do Enterprise Agreement, pode subdividir o ambiente em Departamentos, contas, subscrições e grupos de recursos de acordo com a estrutura da sua organização.Within the Enterprise Agreement, you can further subdivide the environment into departments, accounts, subscriptions, and resource groups to match your organization's structure.

hierarquia

Uma subscrição do Azure é a unidade básica de onde estão incluídos todos os recursos.An Azure subscription is the basic unit where all resources are contained. Também define vários limites no Azure, como o número de núcleos, redes virtuais e outros recursos.It also defines several limits within Azure, such as number of cores, virtual networks and other resources. Grupos de recursos do Azure são utilizados para refinar o modelo de assinatura e ativar um agrupamento mais natural de recursos.Azure Resource Groups are used to further refine the subscription model and enable a more natural grouping of resources.

Toda empresa é diferente e a hierarquia na imagem acima permite flexibilidade significativa no como o Azure está organizado dentro da empresa.Every enterprise is different and the hierarchy in the above image allows for significant flexibility in how Azure is organized within your company. A hierarquia para refletir a faturação da sua empresa, gestão de recursos e necessidades de acesso de recursos de modelagem é a decisão de primeira e mais importante que toma quando a partir da cloud pública.Modeling your hierarchy to reflect your company's billing, resource management, and resource access needs is the first and most important decision you make when starting in the public cloud.

Os departamentos e contasDepartments and Accounts

Os três padrões comuns para inscrições do Azure são:The three common patterns for Azure Enrollments are:

  • O funcional padrão:The functional pattern:

    O padrão funcional

  • O unidade de negócios padrão:The business unit pattern:

    O padrão de unidade de negócio

  • O geográfica padrão:The geographic pattern:

    O padrão geográfico

Embora cada um desses padrões tem seu lugar, o unidade de negócios padrão de cada vez mais está a ser adotado para sua flexibilidade numa organização de modelagem do custo de modelo, bem como refletindo de controlo.Though each of these patterns has its place, the business unit pattern is increasingly being adopted for its flexibility in modeling an organization's cost model as well as reflecting span of control. Grupo de engenharia do Microsoft Core e de operações criou um subconjunto em vigor a partir da unidade de negócios padrão modelada Federal, estado, e Local.Microsoft Core Engineering and Operations group has created an effective subset of the business unit pattern modeled on Federal, State, and Local. Para obter mais informações, consulte organizar as subscrições e grupos de recursos dentro da empresa.For more information, see Organizing subscriptions and resource groups within the Enterprise.

Grupos de gestão do AzureAzure management groups

A Microsoft fornece agora outra forma de modelar a hierarquia: Grupos de gestão do Azure.Microsoft now provides another way to model your hierarchy: Azure management groups. Grupos de gestão são muito mais flexíveis do que os departamentos e as contas e podem ser aninhados até seis níveis.Management groups are much more flexible than departments and accounts, and they can be nested up to six levels. Grupos de gestão permitem-lhe criar uma hierarquia que é separada da sua hierarquia de faturação, apenas para o gerenciamento eficiente de recursos.Management groups let you create a hierarchy that is separate from your billing hierarchy, solely for efficient management of resources. Grupos de gestão podem espelhar a hierarquia de faturação e, muitas vezes, as empresas começam desse modo.Management groups can mirror your billing hierarchy and often enterprises start that way. No entanto, o poder dos grupos de gestão é quando usá-los para modelar a sua organização, agrupar subscrições relacionadas (independentemente da respetiva localização na hierarquia de faturação) e a atribuição de funções, políticas e iniciativas comuns.However, the power of management groups is when you use them to model your organization, grouping together related subscriptions (regardless of their location in the billing hierarchy) and assigning common roles, policies, and initiatives. Alguns exemplos incluem:Some examples include:

  • Produção versus não produção.Production vs. nonproduction. Algumas empresas criar grupos de gestão para identificar as suas subscrições de produção e de não produção.Some enterprises create management groups to identify their production and nonproduction subscriptions. Grupos de gestão permitem que esses clientes mais facilmente gerir funções e políticas.Management groups allow these customers to more easily manage roles and policies. Por exemplo, a subscrição de não produção pode permitir que os desenvolvedores de acesso de "contribuinte", mas na produção, eles têm acesso a apenas "leitor de".For example, nonproduction subscription may allow developers "contributor" access, but in production, they have only "reader" access.
  • Serviços internos versus serviços externos.Internal services vs. external services. As empresas têm, frequentemente, requisitos diferentes, políticas e funções para serviços internos em comparação com serviços ao cliente.Enterprises often have different requirements, policies, and roles for internal services versus customer-facing services.

Os grupos de gestão bem projetado são juntamente com o Azure Policy e iniciativas, o backbone de governação eficiente do Azure.Well-designed management groups are, along with Azure Policy and Initiatives, the backbone of efficient governance of Azure.

SubscriptionsSubscriptions

Quando decidir sobre seus departamentos e contas (ou grupos de gestão), principalmente está a visualizar como estiver dividir seu ambiente do Azure de acordo com a sua organização.When deciding on your Departments and Accounts (or management groups), you are primarily looking at how you're dividing up your Azure environment to match your organization. Subscrições, no entanto, são onde o trabalho realmente acontece e as decisões que tomou aqui afetam a segurança, escalabilidade e faturação.Subscriptions, however, are where the real work happens and your decisions here affect security, scalability, and billing. Muitas organizações observar os seguintes padrões como seus guias:Many organizations look at the following patterns as their guides:

  • Aplicações/serviços: Subscrições representam uma aplicação ou um serviço (portfólio de aplicativos)Application/service: Subscriptions represent an application or a service (portfolio of applications)
  • Ciclo de vida: Subscrições representam um ciclo de vida de um serviço, como produção ou desenvolvimento.Lifecycle: Subscriptions represent a lifecycle of a service, such as Production or Development.
  • Departamento: Subscrições representam os departamentos na organização.Department: Subscriptions represent departments in the organization.

Os primeiros dois padrões são mais comumente usada, e ambos são altamente recomendadas.The first two patterns are the most commonly used, and both are highly recommended. A abordagem de ciclo de vida é adequada para a maioria das organizações.The Lifecycle approach is appropriate for most organizations. Neste caso, a recomendação geral é usar duas subscrições bases.In this case, the general recommendation is to use two base subscriptions. "Produção" e "Não produção" e, em seguida, utilize os grupos de recursos para dividir ainda mais os ambientes."Production" and "Nonproduction," and then use resource groups to break out the environments further.

Grupos de recursosResource groups

O Azure Resource Manager permite-lhe colocar recursos em grupos relevantes para a afinidade de faturação ou natural de gestão.Azure Resource Manager enables you to put resources into meaningful groups for management, billing, or natural affinity. Grupos de recursos são contentores de recursos que tenham o mesmo ciclo de vida ou partilham um atributo, como "todos os servidores SQL" ou "Application A".Resource groups are containers of resources that have a common lifecycle or share an attribute such as "all SQL servers" or "Application A".

Não não possível aninhar a grupos de recursos e recursos só podem pertencer a um grupo de recursos.Resource groups can't be nested, and resources can only belong to one resource group. Algumas ações podem agir sobre todos os recursos num grupo de recursos.Some actions can act on all resources in a resource group. Por exemplo, a eliminar um grupo de recursos remove todos os recursos no grupo de recursos.For example, deleting a resource group removes all resources within the resource group. Como as subscrições, existem padrões comuns quando criar grupos de recursos e irá variar de cargas de trabalho de "TI tradicional" para cargas de trabalho de "TI ágil":Like subscriptions, there are common patterns when creating resource groups and will vary from "Traditional IT" workloads to "Agile IT" workloads:

  • "Tradicional IT" cargas de trabalho mais comumente são agrupadas por itens dentro do mesmo ciclo de vida, como uma aplicação."Traditional IT" workloads are most commonly grouped by items within the same lifecycle, such as an application. Agrupamento por aplicação permite a gestão de aplicações individuais.Grouping by application allows for individual application management.
  • "Ágil IT" cargas de trabalho tendem a se concentrar em aplicações na cloud de destinada aos clientes externos."Agile IT" workloads tend to focus on external customer-facing cloud applications. Os grupos de recursos, muitas vezes, refletem as camadas de gerenciamento e implantação (como uma camada web ou a camada de aplicação).The resource groups often reflect the layers of deployment (such as a web tier or app tier) and management.

Nota

Compreender a sua carga de trabalho ajuda a desenvolver uma estratégia de grupo de recursos.Understanding your workload helps you develop a resource group strategy. Esses padrões podem ser misturados e combinados.These patterns can be mixed and matched. Por exemplo, serviços compartilhados grupo de recursos na mesma subscrição que grupos de recursos "Agile".For example, a shared services resource group in the same subscription as "Agile" resource groups.

Padrões de nomenclaturaNaming standards

O primeiro pilar da scaffold é uma norma de nomenclatura consistente.The first pillar of the scaffold is a consistent naming standard. Padrões de nomenclatura bem projetados permitem-lhe identificar recursos no portal, numa fatura e dentro de scripts.Well-designed naming standards enable you to identify resources in the portal, on a bill, and within scripts. Provavelmente já terá padrões de nomenclatura existentes para a infraestrutura no local.You likely already have existing naming standards for on-premises infrastructure. Ao adicionar o Azure ao seu ambiente, deve alargar esses padrões de nomenclatura aos recursos do Azure.When adding Azure to your environment, you should extend those naming standards to your Azure resources.

Dica

Para as convenções de nomenclatura:For naming conventions:

  • Reveja e adote sempre que possível a documentação de orientação Padrões e Práticas.Review and adopt where possible the Patterns and Practices guidance. Esta orientação ajuda-o a decidir qual a um padrão de nomeação significativo e fornece exemplos abrangentes.This guidance helps you decide on a meaningful naming standard and provides extensive examples.
  • Utilizar políticas do Resource Manager para ajudar a reforçar os padrões de nomenclatura.Using Resource Manager Policies to help enforce naming standards.

Lembre-se de que é difícil alterar nomes mais tarde, por isso, poucos minutos agora irá guardar de problemas mais tarde.Remember that it's difficult to change names later, so a few minutes now will save you trouble later.

Seus padrões de nomenclatura concentre-se esses recursos que são utilizados mais frequentemente e está à procura.Concentrate your naming standards on those resources that are more commonly used and searched for. Por exemplo, todos os grupos de recursos devem seguir um forte padrão por motivos de clareza.For example, all resource groups should follow a strong standard for clarity.

Etiquetas de RecursosResource Tags

Os sinalizadores de recurso rigidamente estão alinhados com padrões de nomenclatura.Resource tags are tightly aligned with naming standards. À medida que recursos são adicionados às subscrições, torna-se cada vez mais importante para logicamente categorize-as para faturação, gestão e fins operacionais.As resources are added to subscriptions, it becomes increasingly important to logically categorize them for billing, management, and operational purposes. Para obter mais informações, consulte utilizar etiquetas para organizar os recursos do Azure.For more information, see Use tags to organize your Azure resources.

Importante

As etiquetas podem conter informações pessoais e podem estar abrangida por regulamentações do GDPR.Tags can contain personal information and may fall under the regulations of GDPR. Planeie cuidadosamente para a gestão das suas etiquetas.Plan for management of your tags carefully. Se estiver procurando por informações gerais sobre o GDPR, consulte a secção GDPR a Portal de confiança do serviço.If you're looking for general information about GDPR, see the GDPR section of the Service Trust Portal.

As etiquetas são utilizadas de várias maneiras para além de faturação e gestão.Tags are used in many ways beyond billing and management. Muitas vezes, são utilizados como parte da automação (consulte a seção posterior).They are often used as part of automation (see later section). Isso pode causar conflitos se não for considerada com antecedência.This can cause conflicts if not considered up front. A prática recomendada é identificar todas as etiquetas comuns ao nível da empresa (por exemplo, ApplicationOwner e Centrodecustos) e aplicá-las de forma consistente quando implementar recursos com a automatização.The recommended practice is to identify all the common tags at the enterprise level (such as ApplicationOwner and CostCenter) and apply them consistently when deploying resources using automation.

O Azure Policy e iniciativasAzure Policy and Initiatives

O segundo pilar da scaffold envolve o uso do Azure Policy e iniciativas para gerir o risco através da imposição de regras (com efeitos) sobre os recursos e serviços nas suas subscrições.The second pillar of the scaffold involves using Azure Policy and initiatives to manage risk by enforcing rules (with effects) over the resources and services in your subscriptions. Iniciativas do Azure são coleções de políticas que foram concebidas para atingir um objetivo único.Azure Initiatives are collections of policies that are designed to achieve a single goal. As políticas e iniciativas, em seguida, são atribuídas a um âmbito de recursos para começar a impor essas políticas.Policies and initiatives are then assigned to a resource scope to begin enforcement of those policies.

As políticas e iniciativas são ainda mais poderosas quando utilizado com os grupos de gestão mencionados anteriormente.Policies and initiatives are even more powerful when used with the management groups mentioned earlier. Os grupos de gestão permitem a atribuição de uma iniciativa ou a política para um conjunto completo de subscrições.Management groups enable the assignment of an initiative or policy to an entire set of subscriptions.

Utilizações comuns de políticas do Resource ManagerCommon uses of Resource Manager policies

As políticas e iniciativas são uma poderosa ferramenta no Kit de ferramentas do Azure.Policies and initiatives are a powerful tool in the Azure toolkit. As políticas permitem que as empresas fornecem controlos para cargas de trabalho de "TI tradicional" que permitem a estabilidade que é necessária para as aplicações de linha de negócio e também permite que cargas de trabalho "Agile"; desenvolvimento de aplicativos de cliente como, por exemplo sem expor a empresa a riscos adicionais.Policies allow companies to provide controls for "Traditional IT" workloads that enable the stability that is needed for line-of-business applications while also allowing "Agile" workloads; such as, developing customer applications without exposing the enterprise to additional risk. Os padrões mais comuns para as políticas são:The most common patterns for policies are:

  • Soberania de dados e de conformidade geográfica.Geo compliance and data sovereignty. O Azure tem uma lista crescente de regiões em todo o mundo.Azure has an ever-growing list of regions across the world. Muitas vezes, as empresas precisam de garantir que os recursos num âmbito específico permanecem numa região geográfica para abordar os requisitos de regulamentação.Enterprises often need to ensure that resources in a specific scope remain in a geographic region to address regulatory requirements.
  • Evite expor publicamente os servidores.Avoid exposing servers publicly. O Azure Policy pode proibir a implementação de determinados tipos de recursos.Azure Policy can prohibit the deployment of certain resource types. É comum para criar uma política para negar a criação de um IP público num âmbito específico, evitando indesejada exposição de um servidor à internet.It's common to create a policy to deny the creation of a public IP within a specific scope, avoiding unintended exposure of a server to the internet.
  • Gestão de custos e metadados.Cost management and metadata. As etiquetas de recursos, muitas vezes, são utilizadas para adicionar dados de faturas importantes para os recursos e grupos de recursos, tais como CostCenter, proprietário e muito mais.Resource tags are often used to add important billing data to resources and resource groups such as CostCenter, Owner, and more. Essas marcas são indispensáveis para explorações precisa faturação e gestão de recursos.These tags are invaluable for accurate billing and management of resources. As políticas podem impor a aplicação de etiquetas de recursos para todos os recursos implementados, tornando mais fácil de gerenciar.Policies can enforce the application of resources tags to all deployed resource, making it easier to manage.

Utilizações comuns de iniciativasCommon uses of initiatives

Iniciativas oferecem às empresas a capacidade para agrupar as políticas de lógicas e controlá-las como uma única entidade.Initiatives provide enterprises the ability to group logical policies and track them as a single entity. Iniciativas de ajudam as empresas a atender às necessidades das cargas de trabalho ágil e tradicionais.Initiatives help the enterprise address the needs of both agile and traditional workloads. Utilizações comuns de iniciativas:Common uses of initiatives include:

  • Ative a monitorização no Centro de segurança do Azure.Enable monitoring in Azure Security Center. Esta é uma iniciativa de predefinição na política do Azure e um ótimo exemplo de quais são as iniciativas.This is a default initiative in the Azure Policy and an excellent example of what initiatives are. Ele permite que as políticas que identificam não encriptadas bases de dados SQL, vulnerabilidades de máquina virtual (VM), e precisam de mais comuns relacionados à segurança.It enables policies that identify unencrypted SQL databases, virtual machine (VM) vulnerabilities, and more common security-related needs.
  • Iniciativa de regulamentação específicos.Regulatory-specific initiative. As empresas, muitas vezes, agrupam políticas comuns a um requisito regulamentar (como HIPAA), para que os controles e conformidade para esses controles são controladas com eficiência.Enterprises often group policies common to a regulatory requirement (such as HIPAA) so that controls and compliancy to those controls are tracked efficiently.
  • Tipos de recursos e SKUs.Resource types and SKUs. Criação de uma iniciativa que restringe os tipos de recursos que podem ser implementados, bem como os SKUs que podem ser implementados pode ajudar a controlar os custos e certifique-se de que sua organização só está a implementar recursos que sua equipe tiver o conjunto de capacidades e os procedimentos para suportar.Creating an initiative that restricts the types of resources that can be deployed as well as the SKUs that can be deployed can help to control costs and ensure your organization is only deploying resources that your team have the skillset and procedures to support.

Dica

Recomendamos que utilize sempre as definições de iniciativa em vez de definições de política.We recommend you always use initiative definitions instead of policy definitions. Depois de atribuir uma iniciativa a um âmbito, por exemplo, subscrição ou grupo de gestão, pode facilmente adicionar outra política para a iniciativa sem ter de alterar as atribuições de.After assigning an initiative to a scope, such as subscription or management group, you can easily add another policy to the initiative without having to change any assignments. Isso torna a compreender o que é aplicado e ao controlar a conformidade muito mais fácil.This makes understanding what is applied and tracking compliance far easier.

Atribuições de política e iniciativaPolicy and Initiative assignments

Após a criação de políticas e agrupá-los em iniciativas de lógicas tem de atribuir a política a um âmbito, quer se trate de um grupo de gestão, uma subscrição ou até mesmo um grupo de recursos.After the creation of policies and grouping them into logical initiatives you must assign the policy to a scope, whether it is a management group, a subscription or even a resource group. Atribuições de permitem-lhe também excluir um subâmbito da atribuição de uma política.Assignments allow you to also exclude a subscope from the assignment of a policy. Por exemplo, se negar a criação de IPs públicos dentro de uma subscrição, pode criar uma atribuição com uma exclusão para um grupo de recursos ligado à sua rede de Perímetro protegido.For example, if you deny the creation of public IPs within a subscription, you could create an assignment with an exclusion for a resource group connected to your protected DMZ.

Encontrará vários exemplos de política que mostram como a política e iniciativas podem ser aplicadas a vários recursos do Azure sobre isso GitHub repositório.You will find several Policy examples that show how Policy and Initiatives can be applied to various resources within Azure on this GitHub repository.

Gestão de acesso e identidadesIdentity and access management

Uma das perguntas primeiros e mais importante, pergunte-se quando a partir da cloud pública é "que devem ter acesso aos recursos?"One of the first, and most crucial, questions you ask yourself when starting with the public cloud is "who should have access to resources?" e "como controlar este acesso?"and "how do I control this access?" Controlar o acesso ao portal do Azure e recursos no portal é essencial para a segurança de longo prazo dos seus recursos na cloud.Controlling access to the Azure portal and resources in the portal is critical to the long-term safety of your assets in the cloud.

Para proteger o acesso aos seus recursos, primeiro de configurar o fornecedor de identidade e, em seguida, configurar funções e acesso.To secure access to your resources you will first configure your identity provider and then configure Roles and access. Azure Active Directory (Azure AD), ligada ao seu diretório de Active Directory no local, é a base da identidade do Azure.Azure Active Directory (Azure AD), connected to your on-premises Active Directory, is the foundation of Azure Identity. Que é dito isso, o Azure AD não igual a no local do Active Directory e é importante entender o que é um inquilino do Azure AD e como ele se relaciona à inscrição do Azure.That said, Azure AD is not the same as on-premises Active Directory, and it's important to understand what an Azure AD tenant is and how it relates to your Azure enrollment. Reveja o disponíveis informações para obter uma base sólida no Azure AD e no local do Active Directory.Review the available information to gain a solid foundation on Azure AD and on-premises Active Directory. Para se ligar e sincronizar o Active Directory para o Azure AD, instale e configure as ferramenta Azure AD Connect no local.To connect and synchronize your Active Directory to Azure AD, install and configure the Azure AD Connect tool on-premises.

arch.png

Quando o Azure foi inicialmente lançado, os controlos de acesso para uma subscrição foram básicos: Administrador ou Coadministrador.When Azure was initially released, access controls to a subscription were basic: Administrator or Co-Administrator. Aceder a uma subscrição no acesso de modelo implícito de clássico para todos os recursos no portal.Access to a subscription in the Classic model implied access to all the resources in the portal. Essa falta de um controlo muito apurado levou à proliferação de subscrições para fornecer um nível de controlo de acesso razoável para uma inscrição do Azure.This lack of fine-grained control led to the proliferation of subscriptions to provide a level of reasonable access control for an Azure Enrollment. Este proliferação de subscrições não é mais necessária.This proliferation of subscriptions is no longer needed. Com o controlo de acesso baseado em funções (RBAC), pode atribuir utilizadores às funções padrão de fornecem acesso comuns, como "proprietário", "contribuinte" ou "leitor de", ou até mesmo criar suas próprias funções.With role-based access control (RBAC), you can assign users to standard roles that provide common access such as "owner", "contributor" or "reader" or even create your own roles.

Durante a implementação de acesso baseado em funções, a seguir é altamente recomendada:When implementing role-based access, the following are highly recommended:

  • Controle o/Coadministrador administrador de uma subscrição como estas funções têm permissões abrangentes.Control the Administrator/Co-Administrator of a subscription as these roles have extensive permissions. Apenas terá de adicionar o proprietário da subscrição como um coadministrador se precisarem de implementações do Azure clássico geridas.You only need to add the Subscription Owner as a Co-administrator if they need to managed Azure Classic deployments.
  • Utilizar grupos de gestão para atribuir funções em várias subscrições e reduzir a carga de gerenciá-las ao nível da subscrição.Use management groups to assign roles across multiple subscriptions and reduce the burden of managing them at the subscription level.
  • Adicione utilizadores do Azure a um grupo (por exemplo, o aplicativo X proprietários) no Active Directory.Add Azure users to a group (for example, Application X Owners) in Active Directory. Utilize o grupo de sincronização para fornecer os direitos adequados para gerir o grupo de recursos que contém a aplicação de membros do grupo.Use the synced group to provide group members the appropriate rights to manage the resource group containing the application.
  • Acompanhar o princípio de conceder a menor privilégio necessários para fazer o trabalho esperado.Follow the principle of granting the least privilege required to do the expected work.

Importante

Considere a utilização do Azure AD Privileged Identity Managementdo Azure multi-factor Authentication e acesso condicional capacidades para proporcionar uma melhor segurança e mais visibilidade para ações administrativas nas suas subscrições do Azure.Consider using Azure AD Privileged Identity Management, Azure Multi-Factor Authentication and Conditional Access capabilities to provide better security and more visibility to administrative actions across your Azure subscriptions. Esses recursos provenientes de uma licença válida do Azure AD Premium (dependendo do recurso) para proteger e gerir a sua identidade.These capabilities come from a valid Azure AD Premium license (depending on the feature) to further secure and manage your identity. PIM do Azure AD permite acesso de administrativo "Just-in-Time" com o fluxo de trabalho de aprovação, bem como uma auditoria completa de ativações de administrador e atividades.Azure AD PIM enables "Just-in-Time" administrative access with approval workflow, as well as a full audit of administrator activations and activities. O Azure multi-factor Authentication é outro recurso crítico e permite a verificação de dois passos para iniciar sessão no portal do Azure.Azure Multi-Factor Authentication is another critical capability and enables two-step verification for login to the Azure portal. Quando combinado com controlos de acesso condicional com eficiência pode gerir o risco de comprometimento.When combined with Conditional Access Controls you can effectively manage your risk of compromise.

Planear e preparar para seus controles de acesso e identidade e seguir a prática recomendada de gestão de identidades do Azure (link) é um das estratégias de atenuação de risco melhor que pode empregar e deve ser considerado obrigatório para todos os implementação.Planning and preparing for your identity and access controls and following Azure Identity Management best practice (link) is one of the best risk mitigation strategies that you can employ and should be considered mandatory for every deployment.

SegurançaSecurity

Um dos grande empecilho para a adoção da cloud, tradicionalmente, tem sido preocupações sobre segurança.One of the biggest blockers to cloud adoption traditionally has been concerns over security. Gestores de riscos de TI e departamentos de segurança necessário garantir que os recursos no Azure estão protegida e seguro por padrão.IT risk managers and security departments need to ensure that resources in Azure are protected and secure by default. O Azure fornece capacidades que pode utilizar para proteger os recursos, detetar e eliminar ameaças contra esses recursos.Azure provides capabilities you can use to protect resources while detecting and eliminating threats against those resources.

Centro de Segurança do AzureAzure Security Center

O Centro de segurança do Azure fornece uma vista unificada do Estado de segurança de recursos em seu ambiente, além de proteção avançada contra ameaças.The Azure Security Center provides a unified view of the security status of resources across your environment in addition to advanced threat protection. Centro de segurança do Azure é uma plataforma aberta que permite que os parceiros da Microsoft criar software que se conecta e aperfeiçoar seus recursos.Azure Security Center is an open platform that enables Microsoft partners to create software that plugs into and enhance its capabilities. As capacidades de linha de base do Centro de segurança do Azure (escalão gratuito) fornecerem avaliação e recomendações que irão melhorar a sua postura de segurança.The baseline capabilities of Azure Security Center (free tier) provide assessment and recommendations that will enhance your security posture. Seu escalões pagos ativar as funcionalidades adicionais e valiosas, como o acesso de administrador just-in-time e controlos de aplicação adaptável (lista de permissões).Its paid tiers enable additional and valuable capabilities such as just-in-time admin access and adaptive application controls (whitelisting).

Dica

Centro de segurança do Azure é uma ferramenta poderosa que regularmente é aprimorada com novos recursos, que pode utilizar para detetar ameaças e proteger a sua empresa.Azure Security Center is a powerful tool that is regularly improved with new capabilities you can use to detect threats and protect your enterprise. É altamente recomendado para sempre habilitar o Centro de segurança do Azure.It is highly recommended to always enable Azure Security Center.

Bloqueios de recursos do AzureAzure resource locks

À medida que sua organização adiciona serviços principais para subscrições, torna-se cada vez mais importante evitar a interrupção do negócio.As your organization adds core services to subscriptions, it becomes increasingly important to avoid business disruption. Um tipo de interrupção que vemos com freqüência é conseqüências indesejadas de scripts e ferramentas de trabalhar em relação a uma subscrição do Azure, a eliminação de recursos por engano.One type of disruption that we often see is unintended consequences of scripts and tools working against an Azure subscription deleting resources mistakenly. Bloqueios de recursos permitem-lhe restringir as operações nos recursos de alto valor onde modificar ou eliminá-los seria ter um impacto significativo.Resource Locks enable you to restrict operations on high-value resources where modifying or deleting them would have a significant impact. Bloqueios são aplicados a uma subscrição, grupo de recursos ou recursos individuais.Locks are applied to a subscription, resource group, or even individual resources. É o caso de utilização comuns aplicar bloqueios para recursos fundamentais, como redes virtuais, gateways, os grupos de segurança de rede e contas de armazenamento de chaves.The common use case is to apply locks to foundational resources such as virtual networks, gateways, network security groups, and key storage accounts.

Proteger o Kit de ferramentas de DevOpsSecure DevOps Toolkit

O Secure DevOps Kit para o Azure (AzSK) é uma coleção de scripts, ferramentas, extensões, automatizações de fluxos, etc. originalmente criado pela própria Microsoft equipa de TI e lançadas como código-fonte aberto através do GitHub.The Secure DevOps Kit for Azure (AzSK) is a collection of scripts, tools, extensions, automations, etc. originally created by Microsoft's own IT team and released as open source via GitHub. AzSK atende às ponto-a-ponto Azure recursos e subscrição necessidades de segurança para as equipas através da automatização extensa e integração sem problemas de segurança em fluxos de trabalho do DevOps nativos ajudar a realizar o secure DevOps com as áreas de seis enfoque:AzSK caters to the end-to-end Azure subscription and resource security needs for teams using extensive automation and smoothly integrating security into native DevOps workflows helping accomplish secure DevOps with these six focus areas:

  • Proteger a subscriçãoSecure the subscription
  • Permitir um desenvolvimento seguroEnable secure development
  • Integrar a segurança CI/CDIntegrate security into CICD
  • Assurance contínuaContinuous assurance
  • Alertas e monitoramentoAlerting and monitoring
  • Governação de risco na cloudCloud risk governance

Kit de ferramentas de DevOps do Azure

O AzSK é um conjunto avançado de ferramentas, scripts e informações que são uma parte importante de um plano de Governança Azure completo e incorporação no sua estrutura é crucial para os objetivos de gerenciamento de risco de organizações de suporte.The AzSK is a rich set of tools, scripts, and information that are an important part of a full Azure governance plan and incorporating this into your scaffold is crucial to supporting your organizations risk management goals.

Gestão de atualizações do AzureAzure Update Management

Uma das principais tarefas que pode fazer para manter o seu ambiente seguro é Certifique-se de que os servidores sejam corrigidos com as atualizações mais recentes.One of the key tasks you can do to keep your environment safe is ensure that your servers are patched with the latest updates. Embora existam diversas ferramentas para fazer isso, o Azure disponibiliza a gestão de atualizações do Azure solução para resolver a identificação e a distribuição de patches críticos do sistema operacional.While there are many tools to accomplish this, Azure provides the Azure Update Management solution to address the identification and rollout of critical OS patches. Ele usa a automatização do Azure, abordado o automatizar seção mais adiante neste guia.It uses Azure Automation, covered in the Automate section later in this guide.

Monitor e alertasMonitor and alerts

Recolha e análise de telemetria, que fornece a linha de visão para as atividades, métricas de desempenho, estado de funcionamento e disponibilidade dos serviços que está a utilizar nas suas subscrições do Azure são essencial para gerir as suas aplicações de forma proativa e infraestrutura e uma necessidade fundamental de cada subscrição do Azure.Collecting and analyzing telemetry that provides line of sight into the activities, performance metrics, health, and availability of the services you are using across your Azure subscriptions is critical to proactively manage your applications and infrastructure and is a foundational need of every Azure subscription. Cada serviço do Azure emite a telemetria na forma de registos de atividades, métricas e registos de diagnóstico.Every Azure service emits telemetry in the form of activity logs, metrics, and diagnostic logs.

  • Registos de atividades descrever todas as operações executadas nos recursos nas suas subscrições.Activity logs describe all operations performed on resources in your subscriptions.
  • Métricas são emitidas por um recurso que descrevem o desempenho e estado de funcionamento de um recurso de informações numéricas.Metrics are numerical information emitted by a resource that describe the performance and health of a resource.
  • Os registos de diagnóstico são emitidos por um serviço do Azure e forneça dados avançados e frequentes sobre o funcionamento desse serviço.Diagnostic logs are emitted by an Azure service and provide rich, frequent data about the operation of that service.

Estas informações podem ser visualizadas e analisadas em vários níveis e estão a ser melhorada continuamente.This information can be viewed and acted on at multiple levels and are continually being improved. O Azure disponibiliza partilhada, core, e profunda capacidades de recursos do Azure através dos serviços descritos no diagrama abaixo de monitorização.Azure provides shared, core, and deep monitoring capabilities of Azure resources through the services outlined in the diagram below. Monitorizaçãomonitoring

Capacidades partilhadasShared capabilities

  • Alertas: Pode coletar todos os registos, eventos e métricas dos recursos do Azure, mas sem a capacidade de ser notificado sobre condições críticas e agir, estes dados apenas são útil para fins de históricos e forense.Alerts: You can collect every log, event, and metric from Azure resources, but without the ability to be notified of critical conditions and act, this data is only useful for historic purposes and forensics. Alertas do Azure ser notificado proativamente das condições que definem em todas as suas aplicações e infraestrutura.Azure Alerts proactively notify you of conditions you define across all your applications and infrastructure. Criar regras de alertas em registos, eventos e métricas que utilizam grupos de ação para notificar os conjuntos de destinatários.You create alert rules across logs, events, and metrics that use action groups to notify sets of recipients. Grupos de ação também oferecem a capacidade de automatizar a remediação com ações externas, como de webhooks para executar runbooks de automatização do Azure e as funções do Azure.Action groups also provide the ability to automate remediation using external actions such as webhooks to run Azure Automation runbooks and Azure Functions.

  • Dashboards: Dashboards permitem-lhe agregar a vistas de monitorização e combinar dados em recursos e subscrições para lhe dar uma vista de toda a empresa para a telemetria dos recursos do Azure.Dashboards: Dashboards enable you to aggregate monitoring views and combine data across resources and subscriptions to give you an enterprise-wide view into the telemetry of Azure resources. Pode criar e configurar suas próprias vistas e partilhá-los com outras pessoas.You can create and configure your own views and share them with others. Por exemplo, pode criar um dashboard que consiste de vários mosaicos para DBAs fornecer informações em todos os serviços de base de dados do Azure, incluindo a BD SQL do Azure, DB do Azure para PostgreSQL e DB do Azure para MySQL.For example, you could create a dashboard consisting of various tiles for DBAs to provide information across all Azure database services, including Azure SQL DB, Azure DB for PostgreSQL and Azure DB for MySQL.

  • Explorador de métricas: As métricas são valores numéricos gerados pelos recursos do Azure (por exemplo, % da CPU ou e/s de disco), que fornecem informações aprofundadas a operação e o desempenho dos seus recursos.Metrics Explorer: Metrics are numerical values generated by Azure resources (such as % CPU or Disk I/O) that provide insight into the operation and performance of your resources. Utilizar o Explorador de métricas, pode definir e enviar as métricas que lhe interessam ao Log Analytics para a agregação e análise.Using Metrics Explorer, you can define and send the metrics that interest you to Log Analytics for aggregation and analysis.

Monitorização principalCore monitoring

  • O Azure Monitor: O Azure Monitor é o serviço de plataforma de núcleos que fornece uma única origem para monitorizar os recursos do Azure.Azure Monitor: Azure Monitor is the core platform service that provides a single source for monitoring Azure resources. Interface do portal do Azure do Azure Monitor fornece um salto centralizado desativar ponto para todas as funcionalidades de monitorização no Azure, incluindo a recursos do Application Insights, soluções de gestão do Log Analytics, monitorização de rede, de monitorização profunda e Mapas de serviço.The Azure portal interface of Azure Monitor provides a centralized jump off point for all the monitoring features across Azure including the deep monitoring capabilities of Application Insights, Log Analytics, Network Monitoring, Management Solutions and Service Maps. Com o Azure Monitor pode visualizar, consultar, encaminhar, arquivar e agir relativamente a métricas e registos provenientes de recursos do Azure entre o seu património integralmente na nuvem.With Azure Monitor you can visualize, query, route, archive, and act on the metrics and logs coming from Azure resources across your entire cloud estate. Para além do portal, pode recuperar dados através de Cmdlets do PowerShell do Monitor, da CLI de plataforma cruzada ou as APIs de REST do Azure Monitor.In addition to the portal you can retrieve data through the Monitor PowerShell Cmdlets, Cross Platform CLI, or the Azure Monitor REST APIs.

  • Azure Advisor: O Assistente do Azure constantemente monitoriza telemetria em suas subscrições e ambientes e fornece recomendações sobre práticas recomendadas sobre como otimizar os recursos do Azure para poupar dinheiro e melhorar o desempenho, segurança e disponibilidade dos recursos que constituem a seus aplicativos.Azure Advisor: Azure Advisor constantly monitors telemetry across your subscriptions and environments and provides recommendations on best practices on how to optimize your Azure resources to save money and improve performance, security, and availability of the resources that make up your applications.

  • Estado de funcionamento do serviço: O Azure Service Health identifica quaisquer problemas com os serviços do Azure que podem afetar os seus aplicativos, bem como ajuda a planejar a instalação do windows de manutenção agendada.Service Health: Azure Service Health identifies any issues with Azure Services that may affect your applications as well as assists you in planning for scheduled maintenance windows.

  • Registo de atividades: O registo de atividades descreve todas as operações em recursos nas suas subscrições.Activity log: The activity log describes all operations on resources in your subscriptions. Ele fornece uma trilha de auditoria para determinar o "o que", 'quem,' e 'when' de qualquer criar, atualizar e eliminar a operação de recursos.It provides an audit trail to determine the 'what', 'who', and 'when' of any create, update, delete operation on resources. Eventos de registo de atividade são armazenados na plataforma e estão disponíveis para consulta durante 90 dias.Activity log events are stored in the platform and are available to query for 90 days. Pode ingerir os registos de atividades para o Log Analytics para períodos de retenção mais longos e consultas mais aprofundada e análise em vários recursos.You can ingest activity logs into Log Analytics for longer retention periods and deeper querying and analysis across multiple resources.

Monitorização aprofundada de aplicaçõesDeep application monitoring

  • O Application Insights: O Application Insights permite-lhe recolher telemetria de específicas da aplicação e monitorizar o desempenho, disponibilidade e utilização de aplicações na cloud ou no local.Application Insights: Application Insights enables you to collect application-specific telemetry and monitor the performance, availability, and usage of applications in the cloud or on-premises. Ao instrumentar seus aplicativos com SDKs suportados para várias linguagens, incluindo .NET, JavaScript, JAVA, node. js, Ruby e Python.By instrumenting your application with supported SDKs for multiple languages including .NET, JavaScript, JAVA, Node.js, Ruby, and Python. Eventos do Application Insights são ingeridos no mesmo arquivo de dados do Log Analytics que suporta a infraestrutura e monitorização de segurança para que possa correlacionar e agregar eventos ao longo do tempo por meio de uma linguagem de consulta avançada.Application Insights events are ingested into the same Log Analytics data store that supports infrastructure and security monitoring to enable you to correlate and aggregate events over time through a rich query language.

Monitorização aprofundada das infraestruturasDeep infrastructure monitoring

  • Log Analytics: O log Analytics desempenha um papel central na monitorização do Azure ao recolher telemetria e outros dados de uma variedade de origens e fornecer um mecanismo de análise e linguagem de consulta que lhe dá informações sobre o funcionamento das suas aplicações e recursos.Log Analytics: Log Analytics plays a central role in Azure monitoring by collecting telemetry and other data from a variety of sources and providing a query language and analytics engine that gives you insights into the operation of your applications and resources. Pode interagir diretamente com os dados do Log Analytics através de vistas e pesquisas de registos de alto desempenho altamente ou pode utilizar ferramentas de análise noutros serviços do Azure que armazenam os dados no Log Analytics, como o Application Insights ou o Centro de segurança do Azure.You can either interact directly with Log Analytics data through highly performant log searches and views, or you may use analysis tools in other Azure services that store their data in Log Analytics such as Application Insights or Azure Security Center.

  • Monitorização de rede: Serviços de monitorização de rede do Azure permitem-lhe obter informações sobre o fluxo de tráfego de rede, desempenho, segurança, conectividade e afunilamentos.Network monitoring: Azure's network monitoring services enable you to gain insight into network traffic flow, performance, security, connectivity, and bottlenecks. Um design de rede bem planejada deve incluir a configuração de serviços como o observador de rede e Monitor do ExpressRoute de monitorização de rede do Azure.A well-planned network design should include configuring Azure network monitoring services such as Network Watcher and ExpressRoute Monitor.

  • Soluções de gestão: Soluções de gestão são empacotados conjuntos de lógica, insights e consultas do Log Analytics predefinidas para uma aplicação ou serviço.Management solutions: Management solutions are packaged sets of logic, insights, and predefined Log Analytics queries for an application or service. Eles baseiam-se no Log Analytics como a base para armazenar e analisar dados de eventos.They rely on Log Analytics as the foundation to store and analyze event data. Soluções de gestão de exemplo incluem a monitorização de contentores e análise de SQL Database do Azure.Sample management solutions include monitoring containers and Azure SQL Database analytics.

  • Mapa de serviço: Mapa de serviço fornece uma visão gráfica em seus componentes de infraestrutura, seus processos e as interdependências em outros computadores e os processos externos.Service Map: Service Map provides a graphical view into your infrastructure components, their processes, and interdependencies on other computers and external processes. Integra eventos, dados de desempenho e soluções de gestão no Log Analytics.It integrates events, performance data, and management solutions in Log Analytics.

Dica

Antes de criar alertas individuais, criar e manter um conjunto partilhado de grupos de ação que possa ser utilizada em alertas do Azure.Before creating individual alerts, create and maintain a set of shared Action Groups that can be used across Azure Alerts. Isto irá permitir-lhe manter centralmente o ciclo de vida das listas de destinatários, métodos de entrega de notificações (e-mail, números de telefone SMS) e webhooks para ações externos (runbooks de automatização do Azure, as funções do Azure / aplicações lógicas, ITSM).This will enable you to centrally maintain the lifecycle of your recipient lists, notification delivery methods (email, SMS phone numbers) and webhooks to external actions (Azure Automation runbooks, Azure Functions / Logic Apps, ITSM).

Gestão de custosCost management

Uma das principais alterações que enfrentará ao mover da cloud no local para a nuvem pública é o comutador de despesas de capital (ter de comprar hardware) à operação de atribuições de despesas (pagando para o serviço é usá-lo).One of the major changes that you will face when you move from on-premises cloud to the public cloud is the switch from capital expenditure (buying hardware) to operating expenditure (paying for service as you use it). Essa opção também requer mais cuidado gestão dos seus custos.This switch also requires more careful management of your costs. O benefício da cloud é que pode fundamentalmente e positivamente afetar o custo de um serviço que utilizar por simplesmente encerrar ou redimensioná-lo quando não for necessário.The benefit of the cloud is that you can fundamentally and positively affect the cost of a service you use by merely shutting down or resizing it when it's not needed. Deliberadamente gerir os seus custos na cloud é uma prática recomendada e que os clientes maduros fazer diariamente.Deliberately managing your costs in the cloud is a recommended practice and one that mature customers do daily.

A Microsoft fornece várias ferramentas para que possa visualizar, controlar e gerir os custos.Microsoft provides several tools for you to be able to visualize, track, and manage your costs. Também fornecemos um conjunto completo de APIs que lhe permite personalizar e integrar a gestão de custos nas suas próprias ferramentas e os dashboards.We also provide a full set of APIs to enable you to customize and integrate cost management into your own tools and dashboards. Essas ferramentas flexíveis são agrupadas em recursos de portais do Azure e recursos externos.These tools are loosely grouped into Azure portal capabilities and external capabilities.

Capacidades de portais do AzureAzure portal capabilities

Estes são ferramentas para lhe fornecer informações instantâneas em custo, bem como a capacidade de tomar medidas.These are tools to provide you instant information on cost as well as the ability to take actions.

  • Custo de recursos de subscrição: -Se no portal, o análise de custos do Azure vista fornece uma rápida olhada em seus custos e informações de todos os dias passar por recurso ou grupo de recursos.Subscription resource cost: Located in the portal, the Azure Cost Analysis view provides a quick look at your costs and information on daily spend by resource or resource group.
  • Gestão de custos do Azure: Este produto é o resultado da compra do Cloudyn pela Microsoft e permite-lhe gerir e analisar os seus gastos do Azure, bem como o que gasta em outros fornecedores de cloud pública.Azure Cost Management: This product is the result of the purchase of Cloudyn by Microsoft and allows you to manage and analyze your Azure spending as well as what you spend on other public cloud providers. Existem ambos gratuita e escalões pagos, com uma grande variedade de recursos como visto na descrição geral.There are both free and paid tiers, with a great wealth of capabilities as seen in the overview.
  • Orçamentos do Azure e grupos de ação: Saber o que algo os custos e fazer algo sobre ele, até recentemente já passaram mais de um exercício manual.Azure budgets and action groups: Knowing what something costs and doing something about it until recently has been more of a manual exercise. Com a introdução do Azure orçamentos e das respetivas APIs, agora é possível criar ações (como visto na neste exemplo) quando os custos de atingir um limiar.With the introduction of Azure Budgets and its APIs, it's now possible to create actions (as seen in this example) when costs hit a threshold. Por exemplo, encerrar um grupo de recursos de "teste" ao chegar a 100% do seu orçamento ou [outro exemplo].For example, shutting down a "test" resource group when it hits 100% of its budget, or [another example].
  • O Assistente do Azure saber algo os custos que é apenas metade da Batalha; a outra metade é saber o que fazer com essas informações.Azure Advisor Knowing what something costs is only half the battle; the other half is knowing what to do with that information. O Assistente do Azure oferece-lhe recomendações sobre ações a efetuar para poupar dinheiro, melhorar a fiabilidade ou até mesmo aumentar a segurança.Azure Advisor provides you recommendations on actions to take to save money, improve reliability or even increase security.

Ferramentas de gestão de custos externoExternal cost management tools

  • Informações sobre consumo do Power BI do Azure: Deseja criar suas próprias visualizações para a sua organização?Power BI Azure Consumption Insights: Do you want to create your own visualizations for your organization? Se assim for, em seguida, o pacote de conteúdos do Azure Consumption Insights para o Power BI é sua ferramenta preferencial.If so, then the Azure Consumption Insights content pack for Power BI is your tool of choice. Com este pacote de conteúdos e o Power BI, pode criar visualizações personalizadas para representar a sua organização, fazer uma análise mais aprofundada sobre os custos e adicionar outras origens de dados para a melhoria do ainda mais.Using this content pack and Power BI you can create custom visualizations to represent your organization, do deeper analysis on costs and add in other data sources for further enrichment.

  • Consumo de API: O consumo de APIs dão-lhe acesso programático aos dados de utilização e custos, além das informações em encargos do marketplace, as instâncias reservadas e orçamentos.Consumption API: The consumption APIs give you programmatic access to cost and usage data in addition to information on budgets, reserved instances, and marketplace charges. Essas APIs são acessíveis apenas para inscrições de empresas e algumas subscrições Web Direct, no entanto proporcionam-lhe a capacidade de integrar os dados de custo em suas próprias ferramentas e armazéns de dados.These APIs are accessible only for Enterprise Enrollments and some Web Direct subscriptions however they give you the ability to integrate your cost data into your own tools and data warehouses. Também pode aceder a estas APIs através da CLI do Azure.You can also access these APIs via the Azure CLI.

Os clientes que são os utilizadores da nuvem de longo prazo e madura seguem algumas práticas recomendadas elevada:Customers who are long-term and mature cloud users follow some highly recommended practices:

  • Monitorize ativamente os custos.Actively monitor costs. As organizações que são os utilizadores do Azure maduros constantemente monitorizar os custos e efetuar ações quando necessário.Organizations that are mature Azure users constantly monitor costs and take actions when needed. Algumas organizações dedicam até mesmo as pessoas para fazer uma análise e sugerir alterações para utilização, e essas pessoas mais de pagam por conta própria pela primeira vez que encontrar um cluster do HDInsight não utilizado de execução durante meses.Some organizations even dedicate people to do analysis and suggest changes to usage, and these people more than pay for themselves the first time they find an unused HDInsight cluster that's been running for months.
  • Utilize instâncias de VM reservadas.Use Reserved VM Instances. Outro princípio fundamental para a gestão de custos na cloud consiste em utilizar a ferramenta certa para a tarefa.Another key tenet for managing costs in the cloud is to use the right tool for the job. Se tiver uma VM de IaaS que deve permanecer ligada 24 x 7, em seguida, utilizar uma instância de VM reservada proporcionará economia de dinheiro significativo.If you have an IaaS VM that must stay on 24x7, then using a Reserved VM Instance will save you significant money. Encontrar o equilíbrio certo entre o automatizando o encerramento de VMs ou instâncias de VM reservadas leva a experiência e a análise.Finding the right balance between automating the shutdown of VMs and using Reserved VM Instances takes experience and analysis.
  • Utilize a automatização com eficiência.Use automation effectively. Muitas cargas de trabalho não precisam de executar todos os dias.Many workloads don't need to run every day. Desativar a uma VM para um período de quatro horas todos os dias pode economizar 15% dos gastos.Turning off a VM for a four-hour period every day can save you 15% of your cost. Automatização pagará por si mesma o mais rapidamente.Automation will pay for itself quickly.
  • Utilize etiquetas de recurso para visibilidade.Use resource tags for visibility. Como mencionado em outro lugar neste documento, utilizando as etiquetas de recurso permitirá para melhor análise de custos.As mentioned elsewhere in this document, using resource tags will allow for better analysis of costs.

Gestão de custos é uma disciplina essencial para o eficaz e eficiente de execução de uma nuvem pública.Cost management is a discipline that is core to the effective and efficient running of a public cloud. As empresas a alcançar o sucesso podem controlar os custos dos e correspondê-los à sua procura real, em vez de vem overbuying e esperar a pedido.Enterprises that achieve success can control their costs and match them to their actual demand, rather than overbuying and hoping demand comes.

AutomatizarAutomate

Um dos muitos recursos que diferencia a maturidade das organizações que utilizam fornecedores de serviços cloud é o nível de automatização que eles tenham incorporado.One of the many capabilities that differentiates the maturity of organizations using cloud providers is the level of automation that they have incorporated. A automação é um processo sem fim e à medida que sua organização passa para a cloud é qualquer área que terá de investir recursos e tempo no prédio.Automation is a never-ending process and as your organization moves to the cloud it is any area that you need to invest resources and time in building. Automatização serve muitas finalidades, incluindo a implementação consistente de recursos (em que ela vincula diretamente ao conceito de estrutura de núcleos, de outra, modelos e DevOps) para a correção de problemas.Automation serves many purposes including consistent rollout of resources (where it ties directly to another core scaffold concept, templates and DevOps) to the remediation of issues. A automatização é a "cicatrização connective" scaffold do Azure e liga cada área em conjunto.Automation is the "connective tissue" of the Azure scaffold and links each area together.

Várias ferramentas podem ajudá-lo a criar esta capacidade, de ferramentas de originais, como a automatização do Azure Event Grid e a CLI do Azure, para um número mais extenso de ferramentas de terceiros, como o Terraform, Jenkins, Chef e Puppet.Several tools can help you build out this capability, from first-party tools such as Azure Automation, Event Grid, and the Azure CLI, to an extensive number of third-party tools such as Terraform, Jenkins, Chef, and Puppet. Ferramentas de automatização de núcleo incluem a automatização do Azure Event Grid e o Azure Cloud Shell.Core automation tools include Azure Automation, Event Grid, and the Azure Cloud Shell.

  • A automatização do Azure é um recurso com base na cloud que permite-lhe criar runbooks (no PowerShell ou Python) e permite-lhe automatizar processos, configurar recursos de e até mesmo aplica patches.Azure Automation Is a cloud-based capability that allows you to author runbooks (in either PowerShell or Python) and allows you automate processes, configure resources, and even apply patches. A automatização do Azure tem um amplo conjunto de cruzada capacidades da plataforma que integram-se à sua implementação, mas são demasiado extensa para serem abordadas em detalhes aqui.Azure Automation has an extensive set of cross platform capabilities that are integral to your deployment but are too extensive to be covered in depth here.
  • Grelha de eventos é um sistema de roteamento de eventos totalmente gerido que permite-lhe reagir a eventos no seu ambiente do Azure.Event Grid is a fully managed event routing system that allows you to react to events within your Azure environment. Tal como a automatização do Azure é a cicatrização connective das organizações de cloud evoluídas, Event Grid é a cicatrização connective de automação de bom.Just as Azure Automation is the connective tissue of mature cloud organizations, Event Grid is the connective tissue of good automation. Com o Event Grid, pode criar uma ação simples sem servidor para enviar um e-mail para um administrador, sempre que for criado um novo recurso e iniciar esse recurso para uma base de dados.Using Event Grid, you can create a simple serverless action to send an email to an administrator whenever a new resource is created and log that resource to a database. Esse mesmo Event Grid pode notificar quando um recurso é eliminado e remover o item da base de dados.That same Event Grid can notify when a resource is deleted and remove the item from the database.
  • O Azure Cloud Shell é interativo e baseada no browser shell para gerir recursos no Azure.Azure Cloud Shell is an interactive, browser-based shell for managing resources in Azure. Ele fornece um ambiente completo para o PowerShell ou Bash é iniciado como necessário (e manter para), para que tenha um ambiente consistente a partir do qual pode executar os seus scripts.It provides a complete environment for either PowerShell or Bash that is launched as needed (and maintained for you) so that you have a consistent environment from which to run your scripts. O Azure Cloud Shell fornece acesso a ferramentas adicionais de chave - já instalada – para automatizar o seu ambiente, incluindo CLI do Azure, Terraform e uma lista crescente de adicionais ferramentas para gerir contentores, bases de dados (sqlcmd) e muito mais.The Azure Cloud Shell provides access to additional key tools -already installed-- to automate your environment including Azure CLI, Terraform and a growing list of additional tools to manage containers, databases (sqlcmd), and more.

A automação é um trabalho em tempo integral e, rapidamente torna-se uma das tarefas operacionais mais importantes na sua equipa de cloud.Automation is a full-time job, and it will rapidly become one of the most important operational tasks within your cloud team. As organizações que usar a abordagem de "primeiro a automatizar" ter um maior sucesso na utilização do Azure:Organizations that take the approach of "automate first" have greater success in using Azure:

  • Gerir custos: Ativamente procurando oportunidades e a criação de automatização para recursos, de redimensionar aumentar ou reduzir verticalmente e desativar recursos não utilizados.Managing costs: Actively seeking opportunities and creating automation to resize resources, scale up or down, and turn off unused resources.
  • Flexibilidade operacional: Com a automatização (juntamente com modelos e DevOps), ganha um nível de capacidade de repetição que aumenta a disponibilidade, aumenta a segurança e permite que sua equipe se concentrem em resolver problemas de negócio.Operational flexibility: With automation (along with templates and DevOps), you gain a level of repeatability that increases availability, increases security, and enables your team to focus on solving business problems.

Modelos e DevOpsTemplates and DevOps

Como destacado na secção de automatizar, seu objetivo como uma organização deve ser para aprovisionar os recursos através de modelos e controlada por origem e de scripts e para minimizar a configuração interativa dos seus ambientes.As highlighted in the Automate section, your goal as an organization should be to provision resources through source-controlled templates and scripts and to minimize interactive configuration of your environments. Essa abordagem de "infraestrutura como código", juntamente com um processo de DevOps disciplinado para a implementação contínua pode garantir a consistência e reduzir os descompassos em seus ambientes.This approach of "infrastructure as code" along with a disciplined DevOps process for continuous deployment can ensure consistency and reduce drift across your environments. Quase todos os recursos do Azure pode ser implementado através de modelos do Azure Resource Manager JSON em conjunto com o PowerShell ou do Azure e para várias plataformas CLI ferramentas como o Terraform da Hashicorp (que tem suporte de primeira classe e integrado no Azure Cloud Shell).Almost every Azure resource is deployable through Azure Resource Manager JSON templates in conjunction with PowerShell or the Azure cross platform CLI and tools such as Terraform from Hashicorp (which has first class support and integrated into the Azure Cloud Shell).

Por exemplo, o artigo melhores práticas para a utilização de modelos Azure Resource Manager fornecem uma discussão excelente de práticas recomendadas e lições aprendidas para aplicar uma abordagem de DevOps a modelos do Azure Resource Manager com o Do azure DevOps coleção de ferramentas.Article such as Best practices for using Azure Resource Manager templates provide an excellent discussion of best practices and lessons learned for applying a DevOps approach to Azure Resource Manager templates with the Azure DevOps toolchain. Tire o tempo e esforço para desenvolver um conjunto de principais de modelos específicos de requisitos da sua organização e a desenvolver pipelines de entrega contínua com cadeias de ferramentas de DevOps (por exemplo, o Azure DevOps, Jenkins, Bamboo, TeamCity e Concourse), especialmente para seu produção e ambientes de controle de qualidade.Take the time and effort to develop a core set of templates specific to your organization's requirements, and to develop continuous delivery pipelines with DevOps toolchains (such as Azure DevOps, Jenkins, Bamboo, TeamCity, and Concourse), especially for your production and QA environments. Há uma grande biblioteca de modelos de início rápido do Azure no GitHub que pode utilizar como ponto de partida para modelos e pode criar rapidamente pipelines de entrega baseado na nuvem do Azure DevOps.There is a large library of Azure Quickstart templates on GitHub that you can use as a starting point for templates, and you can quickly create cloud-based delivery pipelines with Azure DevOps.

Como melhor prática para as subscrições de produção ou de grupos de recursos, o seu objetivo deve usar segurança RBAC para não permitir utilizadores interativos por predefinição e a utilização de pipelines de entrega contínua automatizada com base em principais de serviço para aprovisionar todos os recursos e enviar todo o código de aplicação.As a best practice for production subscriptions or resource groups, your goal should be using RBAC security to disallow interactive users by default and using automated continuous delivery pipelines based on service principals to provision all resources and deliver all application code. Nenhum administrador ou programador deve tocar o portal do Azure para configurar interativamente a recursos.No admin or developer should touch the Azure portal to interactively configure resources. Este nível de DevOps assume um esforço concentrado e utiliza todos os conceitos de scaffold do Azure, fornecendo um ambiente consistente e mais seguro que atenderá da sua organização precisam de aumentar.This level of DevOps takes a concerted effort and uses all the concepts of the Azure scaffold, providing a consistent and more secure environment that will meet your organization's need to scale.

Dica

Ao projetar e desenvolver modelos do Azure Resource Manager complexos, utilize ligado modelos para organizar e refatorar relações de recurso complexas de ficheiros JSON monolíticos.When designing and developing complex Azure Resource Manager templates, use linked templates to organize and refactor complex resource relationships from monolithic JSON files. Isso permitirá que gerir os recursos individualmente e fazer os modelos mais legível, que pode ser testada e reutilizável.This will enable you to manage resources individually and make your templates more readable, testable, and reusable.

O Azure é um fornecedor de cloud de hiperescala.Azure is a hyperscale cloud provider. Como mover a sua organização a partir de servidores no local para a cloud, contando com os mesmos conceitos que Fornecedores e aplicações SaaS na cloud utilização ajudará a sua organização reagir muito mais eficiência às necessidades do negócio.As you move your organization from on-premises servers to the cloud, relying on the same concepts that cloud providers and SaaS applications use will help your organization react to the needs of the business much more efficiently.

Rede principalCore network

O componente final do modelo de referência do Azure scaffold é essencial para como sua organização acessa o Azure, de forma segura.The final component of the Azure scaffold reference model is core to how your organization accesses Azure, in a secure manner. Acesso a recursos pode ser interno (dentro da rede a corporation) ou externos (por meio da internet).Access to resources can be either internal (within the corporation's network) or external (through the internet). É fácil para os utilizadores na sua organização inadvertidamente colocar recursos no ponto errado e potencialmente abri-los para o acesso malicioso.It is easy for users in your organization to inadvertently put resources in the wrong spot, and potentially open them to malicious access. Tal como acontece com dispositivos no local, as empresas tem de adicionar controlos adequados para garantir que os utilizadores do Azure tomem as decisões certas.As with on-premises devices, enterprises must add appropriate controls to ensure that Azure users make the right decisions. Para a governação de subscrições, podemos identificar recursos principais que permitem controlar básica de acesso.For subscription governance, we identify core resources that provide basic control of access. Os recursos de núcleo consistem em:The core resources consist of:

  • Redes virtuais são objetos de contentor para sub-redes.Virtual networks are container objects for subnets. Embora não seja estritamente necessário, muitas vezes, é utilizado quando a ligação de aplicações para recursos empresariais internos.Though not strictly necessary, it is often used when connecting applications to internal corporate resources.
  • Rotas definidas pelo utilizador permitem que manipule a tabela de rotas dentro de uma sub-rede que lhe permite enviar o tráfego através de uma aplicação virtual de rede ou para um gateway remoto numa rede virtual em modo de peering.User-defined routes allow you to manipulate the route table within a subnet enabling you to send traffic through a network virtual appliance or to a remote gateway on a peered virtual network.
  • Peering de rede virtual permite que se conecte a duas ou mais redes virtuais do Azure, criar designs de hub- and -spoke mais complexas ou partilhados redes de serviços.Virtual network peering enables you to seamlessly connect two or more Azure virtual networks, creating more complex hub and spoke designs or shared services networks.
  • Pontos finais de serviço.Service endpoints. No passado, os serviços de PaaS contavam com diferentes métodos para proteger o acesso a esses recursos das suas redes virtuais.In the past, PaaS services relied on different methods to secure access to those resources from your virtual networks. Pontos finais de serviço permitem-lhe acesso seguro a serviços de PaaS ativados da apenas ligado pontos de extremidade, aumentando a segurança geral.Service endpoints allow you to secure access to enabled PaaS services from only connected endpoints, increasing overall security.
  • Grupos de segurança são um amplo conjunto de regras que fornecem a capacidade de permitir ou negar o tráfego de entrada e saído para/de recursos do Azure.Security groups are an extensive set of rules that provide the ability to allow or deny inbound and outbound traffic to/from Azure resources. Grupos de segurança consistem em regras de segurança que podem ser aumentadas com etiquetas de serviço (que definem os serviços do Azure comuns, como o Azure Key Vault ou a base de dados do Azure SQL) e grupos de segurança de aplicações (que definir e aplicativo estruturar, tais como servidores web ou servidores de aplicação).Security groups consist of security rules that can be augmented with service tags (which define common Azure services such as Azure Key Vault or Azure SQL Database) and application security groups (which define and application structure, such as web servers or app servers).

Dica

Utilizar etiquetas de serviço e grupos de segurança de aplicações nos seus grupos de segurança de rede para não apenas melhorar a legibilidade de suas regras—que é crucial para o impacto de compreensão—, mas também para ativar microsegmentation eficaz dentro de um sub-rede maior, reduzindo a expansão e aumenta a flexibilidade.Use service tags and application security groups in your network security groups to not only enhance the readability of your rules—which is crucial to understanding impact—but also to enable effective microsegmentation within a larger subnet, reducing sprawl and increasing flexibility.

Datacenter Virtual do AzureAzure Virtual Datacenter

O Azure disponibiliza capacidades internas e capacidades de terceiros da nossa rede de parceiros abrangente, que permitem que tenha uma postura de segurança efetivas.Azure provides you both internal capabilities and third-party capabilities from our extensive partner network that enable you to have an effective security stance. Mais importante, a Microsoft fornece as práticas recomendadas e diretrizes na forma do Datacenter Virtual do Azure (VDC).More importantly, Microsoft provides best practices and guidance in the form of the Azure Virtual Datacenter (VDC). Quando migra a partir de uma única carga de trabalho para várias cargas de trabalho que utilizam as capacidades híbridas, a documentação de orientação de VDC fornecerá "receitas" para ativar a uma rede flexível, que irá aumentar à medida que aumentam as cargas de trabalho no Azure.As you move from a single workload to multiple workloads that use hybrid capabilities, the VDC guidance will provide you with "recipes" to enable a flexible, network that will grow as your workloads in Azure grow.

Passos SeguintesNext steps

Governação é crucial para o sucesso do Azure.Governance is crucial to the success of Azure. Este artigo destina-se a implementação técnica de uma estrutura de enterprise, mas só aborda o processo e as relações entre os componentes mais ampla.This article targets the technical implementation of an enterprise scaffold but only touches on the broader process and relationships between the components. Governação da política fluem de cima para baixo e é determinada pelo que a empresa quer alcançar.Policy governance flows from the top down and is determined by what the business wants to achieve. Naturalmente, a criação de um modelo de Governança para o Azure inclui representantes de IT, mas o mais importante é que ele deve ter representação forte de líderes de grupos de negócios e gestão de risco e segurança.Naturally, the creation of a governance model for Azure includes representatives from IT, but more importantly it should have strong representation from business group leaders, and security and risk management. No final, uma estrutura de enterprise é sobre como mitigar o risco de negócios para facilitar a missão e os objetivos da organização.In the end, an enterprise scaffold is about mitigating business risk to facilitate an organization's mission and objectives.

Agora que aprendeu sobre governação de subscrições, chegou a hora para ver estas recomendações na prática.Now that you have learned about subscription governance, it's time to see these recommendations in practice. Ver exemplos para implementar a governação de subscrições do Azure.See Examples of implementing Azure subscription governance.